app开发者平台在数字化时代的重要性与发展趋势解析
1145
2022-11-30
最小化微服务漏洞 Secret存储敏感数据
Secret是一个用于存储敏感数据的资源,所有的数据要经过base64编码,数据实际会存储在k8s中Etcd, 然后通过创建Pod时引用该数据。
应用场景:凭据
Pod使用configmap数据有两种方式:
• 变量注入
• 数据卷挂载
kubectl create secret 支持三种数据类型:
• docker-registry:存储镜像仓库认证信息
• generic:从文件、目录或者字符串创建,例如存储用户名密码
• tls:存储证书,例如HTTPS证书
示例:将Mysql用户密码保存到Secret中存储
下面就是123456经过base64位编码,-n是去掉换行符
[root@k8s-master ~]# echo -n 123456 | base64MTIzNDU2
通过这种方式在yaml文件里面来指定mysql的密码现然是不安全的,mysql可以读取注入的变量MYSQL_ROOT_PASSWORD值作为其密码,以为describe一下就能够看得到。
env: - name: MYSQL_ROOT_PASSWORD value: 123456
[root@k8s-master ~]# cat mysql.yaml apiVersion: v1kind: Secretmetadata: name: mysqltype: Opaquedata: mysql-root-password: "MTIzNDU2"---apiVersion: apps/v1kind: Deploymentmetadata: name: mysqlspec: selector: matchLabels: app: mysql template: metadata: labels: app: mysql spec: containers: - name: db image: mysql:5.7.30 env: - name: MYSQL_ROOT_PASSWORD valueFrom: secretKeyRef: name: mysql key: mysql-root-password[root@k8s-master ~]# kubectl get secretNAME TYPE DATA AGEdefault-token-j9294 kubernetes.io/service-account-token 3 239dmysql Opaque 1 7m24s[root@k8s-master ~]# kubectl describe secret mysqlName: mysqlNamespace: defaultLabels:
要查看具体的值可以使用如下:
[root@k8s-master ~]# kubectl get secret mysql -n default -o jsonpath={.data.mysql-root-password} | base64 -d123456
版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。
发表评论
暂时没有评论,来抢沙发吧~